Besser anmelden
Mit der „Einmalanmeldung“lassen sich viele Passwortprobleme komplett umgehen. Allerdings hat dieses Verfahren auch einige Nachteile
Passwörter nerven. Man braucht für jeden Log-in ein neues, und kompliziert muss es auch sein. Einige Nutzer befreien sich von den lästigen Anmeldeprozeduren mit einem Passwortmanager. Andere setzen auf Single Sign-on (SSO), auf Deutsch auch „Einmalanmeldung“genannt. Die gibt es zwar nicht für alle Websites und Dienste, aber für viele. Zu den bekanntesten Sso-diensten zählen Apple, Facebook, Google und Twitter. Aus Deutschland stammen die Dienste Mobile Connect, Verimi und NET-ID.
Das Prinzip: So funktioniert Single Sign-on
Der praktische Nutzen von SSO ist offensichtlich. Sie melden sich einmalig bei einem Sso-dienst an, beispielsweise bei Google (http://account.google.com). Von da an können Sie sich einfach per Klick in jede Website und App einloggen, die den Button „Log-in mit Google“oder ähnlich lautend anbietet. Nach dem ersten Klick bestätigen Sie Google einmalig, dass Sie sich bei dem Dienst anmelden wollen. Google sendet ihm dann eine Nachricht (Token), die besagt: Diese Person ist uns bekannt. Und schon sind Sie drin. Die neue Website bekommt Ihr Passwort niemals zu sehen. Und Sie müsse sich für diese Website keine eigenen Log-in-daten merken.
Die technische Beschreibung von SSO ist etwas komplizierter. Das Konzept von SSO wird als föderierte Identität bezeichnet. Das föderierte Identitätssysteme übernimmt dabei die Aufgaben von Authentifizierung, Autorisierung, Austausch von Benutzerattributen und Benutzerverwaltung.
Den technischen Standard dazu liefert unter anderem die Open ID Foundation (https: //openid.net) mit Open ID Connect. Allerdings nutzen viele Sso-dienste eigene Entwicklungen. Ausführliche Infos zur technischen Seite von SSO finden Sie unter www. pcwelt.de/vblx46.
Verbreitung von SSO: Facebook liegt vorne
In vielen Unternehmen wird SSO seit Jahren intensiv genutzt. Denn sowohl Administrator als auch Nutzer sind froh, wenn sie nur einen Log-in für die vielen firmeneigenen Dienste verwalten müssen. Lösungen gibt es etwa von IBM, Okta, Oracle und SAP. Allerdings hat die beschleunigte Digitalisierung der letzten Jahre etliche neue Dienste ins Unternehmen gebracht, die sich teilweise nicht in das vorhandene Sso-system integrieren lassen. Ein To-do für viele Firmen. Infos zu SSO im Geschäftsumfeld finden Sie unter www.pcwelt.de/2511650.
Im privaten Bereich hat vor allem Facebook für die starke Verbreitung von SSO-MÖG
„Die Vorteile von Einmalanmeldungen sind enorm. Allerdings muss man bei diesem Verfahren Abstriche beim Datenschutz machen.“
lichkeiten in den letzten 10 Jahren gesorgt. Dabei half nicht nur, dass viele Nutzer bereits einen Facebook-account hatten. Facebook hat es zudem für die Betreiber von Webseiten und von Apps überaus attraktiv gemacht, den Facebook-log-in-button einzubauen. Denn zumindest in den ersten Jahren erhielten die Firmen zusätzlich zum Benutzernamen des Anwenders auch eine Menge Daten über ihn, etwa die Freundeslisten, Zugriff auf seine Likes bei Facebook oder gar Zugriff auf seinen Status. Solche persönlichen Daten sind für Unternehmen sehr interessant. So kann zum Beispiel ein Onlineshop seinem Kunden gleich die Waren präsentieren, die zu seinen Likes bei Facebook passen. Facebook wiederum hat über den Log-in erfahren, welche Websites ein Nutzer außerhalb des sozialen Netzwerks besucht und konnte so das Werbeprofil seines Nutzers schärfen.
Mittlerweile soll allerdings der Datenfluss von Facebook in Richtung Apps und Websites weitgehend gestoppt sein. Zumindest zeigt Facebook beim ersten Log-in in einen neuen Dienst an, welche Daten noch fließen. Und diese lassen sich teilweise manuell reduzieren. Mittlerweile gibt es viele weitere Sso-anbieter, von denen einige angeben, keine oder kaum Daten zu sammeln. Das ist etwa bei der Apple ID der Fall. Allerdings setzt Apple den Besitz eines Apple-gerätes voraus, etwa eines iphones.
Die Vorteile von SSO: Sie erhöhen die Sicherheit
Einfach: Sie müssen sich nur einmal beim Sso-dienst anmelden, etwa per Benutzername und Passwort. Alle weiteren Log-ins bei Websites und Apps erfolgen passwortlos mit einem Klick. Das reduziert die Gefahr, dass Anwender stets dasselbe Passwort für alle ihre Dienste verwenden. Zwei-faktor-sicherheit: Die Anmeldung beim Sso-dienst selber lässt sich mit einem zweiten Faktor absichern, etwa per SMSCODE, Fingerabdruck oder Authenticatorapp. So ist dieser Log-in sehr gut geschützt. Kein Passwort für die anderen Dienste: Der Log-in per SSO verrät den teilnehmenden Diensten keines Ihrer Passwörter. Es wird lediglich Ihr Benutzername übertragen, unter Umständen ergänzt um weitere Profildaten.
Einfach abmelden: Sie können sich zentral beim Sso-dienst aus einzelnen oder allen genutzten Websites abmelden. Das ist etwa dann hilfreich, wenn Sie Ihr Smartphone oder Notebook verloren haben. Ein unehrlicher Finder kann die Log-ins dann nicht mehr nutzen.
Weniger Chancen für Hacker: Viele Passwörter werden mit Phishing-angriffen gestohlen. Hacker versenden gefälschte Mails, die vorgeblich etwa von einem Onlineshop stammen und das Passwort des Empfängers entlocken sollen. Wenn Sie bei den meisten Diensten kein Passwort mehr nutzen, können Sie es auch nicht verraten. Sicherheit von Profis: It-sicherheit ist eine komplexe, fortwährende Aufgabe. Bei Face
book, Google & Co. arbeiten Spezialisten, die für die Sicherheit ihres Sso-systems sorgen. Die Betreiber von kleinen Websites oder Onlineshops haben selten Zugriff auf ähnlich gut ausgebildete Experten.
Nachteile von SSO: Privatnutzer zahlen mit Daten
Verbreitung: Zwar bieten mittlerweile viele Websites und Apps Sso-log-ins an, aber bei weitem nicht alle. Sie kommen also um alternative Anmeldetechniken, etwa per Passwortmanager nicht herum.
Es hängt an einem Passwort: Das scheinbar stärkste Gegenargument gegen SSO ist, dass der Log-in bei allen genutzten Seiten an nur einem Passwort hängt. Hat ein Hacker Zugriff auf Ihren Sso-dienst, kann er sich überall damit einloggen. Sogar in Dienste, die Sie noch gar nicht nutzen. Allerdings ist dieses Argument nicht so stark, wie es scheint: Denn wenn Sie den Sso-dienst mit einer starken Authentifizierung schützen, etwa per Fingerabdruck, ist die Gefahr eines erfolgreichen Angriffs gering. Außerdem ist die Alternative zu SSO ganz genauso anfällig, denn diese ist fast immer eine Registrierung auf der Website mit Mailadresse und Passwort.
Erhält nun ein Hacker Zugriff auf Ihr Mailpostfach, so hat er auch Zugriff auf alle Websites und Dienste, bei denen Sie sich damit angemeldet haben. Über die fast immer vorhandene Funktion „Passwort zurücksetzen“kann der Hacker alle diese Logins übernehmen.
Ausfallzeiten: Sollte Ihr Sso-dienstleister einmal wegen eines technischen Defekts ausfallen, ist kein Log-in möglich. In vielen Fällen gibt es dann auch keine Fall-backlösung, da der Onlinedienst ja kein Passwort von Ihnen hat. Sie müssen warten, bis der Sso-dienstleister wieder funktioniert. Datenweitergabe: Das Plus an Komfort und Sicherheit erkaufen Sie mit der Preisgabe Ihrer Daten. Wenn Sie den Googlelog-in zum Beispiel auf der Website www. runtastic.com nutzen, dann erfährt Google, dass Sie gerne laufen und Ihr Training zudem per App überwachen. Das ist gut für Google, denn nun kann es Ihnen mehr Werbung anzeigen. Auch die meisten anderen universellen Log-in-dienste sind primär an Ihren Daten interessiert.
Tatsächlich ist der Abfluss von persönlichen Daten das wichtigste Argument gegen die Nutzung von Sso-diensten. Zumindest für
Nutzer, denen die Werbeindustrie mit ihren Datenprofilen zuwider ist.
Welche Alternativen zu einer sicheren Anmeldung gibt es?
Statt einer Anmeldung per SSO wird bei den meisten Websites und Apps auch ein gewohnter Log-in per Benutzername und Passwort angeboten. Dieser Standard ist in seiner Grundform allerdings die schlechteste Wahl. Dafür gibt es 10.467.311.280 Gründe. Denn so viele Log-in-daten sind bereits gestohlen worden und kursieren im Internet. Ein Blick auf die Website https:// haveibeenpwned.com liefert Ihnen unter „pwned accounts“die aktuelle Zahl. Große und kleine Webseiten werden immer wieder das Opfer von Hacker-angriffen, in deren Folge oft die gesamte Nutzerdatenbank der Website gestohlen wird. Diese Zahl zeigt, dass Ihre Log-in-daten bei vielen Websites in schlechten Händen sind. Je weniger Daten Sie von sich preisgeben, desto besser.
Wenn Sie aber eine Standardanmeldung nutzen, dann sollten Sie das Erstellen eines einmaligen und komplizierten Passworts Ihrem Passwortmanager (www.pcwelt. de/23560) überlassen. Setzen Sie, wann immer das möglich ist, zudem eine Zweifaktor-authentifizierung (www.pcwelt. de/2491415) ein. Das macht die Übernahme des Dienstes durch einen Angreifer unwahrscheinlich. Fein raus sind Sie, wenn ein Dienst den passwortlosen Log-in nach dem Fido-2-standard (www.pcwelt. de/2480710) anbietet. Allerdings ist das bislang sehr selten.
Wie sicher ist ein Sso-log-in mit Facebook & Co.?
Sie möchten wissen, ob der Log-in auf einer beliebigen Website mit Facebook (oder Google & Co.) empfehlenswert ist, oder ob Sie mit einer gewöhnlichen Registrierung per Benutzername und Passwort besser dran sind. Die rein technische Antwort darauf ist eindeutig: Nehmen Sie den Ssolog-in per Facebook (oder Google oder Twitter oder Apple). Ihre Log-in-daten sind so besser geschützt als durch eine Standardregistrierung auf der Website.
Auf der anderen Seite: Die Platzhirsche beim SSO sind Facebook und Google. Doch diese beiden betreiben die Dienste hauptsächlich, um mehr Daten über Sie sammeln zu können, um Ihr Werbeprofil zu verfeinern. Für viele Nutzer ist das ein Showstopper. Andere kümmert das kaum oder ist gar dankbar, wenn die angezeigte Werbung zu den eigenen Interessen passt.